Deutscher Bundestag – 17. Wahlperiode
– 37 –
weisregisters. Ebenso positiv zu bewerten ist die Trennung
der hoheitlichen Funktionen von der eID-Funktionalität
für die Bereiche E-Government und E-Commerce.
Ziel der eID-Funktion ist es, Internetnutzern mehr Sicherheit und besseren Datenschutz zu bringen. Die Nutzung
der eID-Funktion ist freiwillig. Der Personalausweis wird
über 16-jährigen grundsätzlich mit aktivierter eID-Funktion ausgehändigt. Die Funktion kann in den Personalausweisbehörden auf Wunsch kostenfrei deaktiviert werden
sowie bei Bedarf kostenpflichtig wieder reaktiviert werden. Für die Ausweis-PIN, die bei der elektronischen Identitätsfunktion eingesetzt wird, sollte weder das Geburtsdatum noch eine ähnlich unsichere Ziffernfolge genutzt
werden. Wer die eID-Funktion nutzen möchte, sollte darauf achten, dass der Rechner, von dem die Funktion genutzt werden soll, frei von Schadsoftware ist. Dies bedeutet vor allem, dass der Rechner über einen aktuellen
Virenscanner sowie eine Firewall verfügt und Sicherheitsupdates regelmäßig durchgeführt werden.
Zwar begrüße ich diese Empfehlungen. Kritisch sehe ich
es aber, dass die Verantwortung für eine sichere Nutzung
der eID-Funktion damit sehr weit in den Verantwortungsbereich der den nPA nutzenden Bürgerinnen und Bürger
geschoben wird. Da die Chipkarten-Lesegeräte der
Sicherheitsklasse 1 („Basislesegeräte“) über keine eigene
Tastatur verfügen, muss bei diesen die PIN über die
PC-Tastatur eingegeben werden. Ist der PC durch Spionagesoftware infiziert, könnten Hacker die PIN ausspähen.
Um der Gefahr des Ausspähens der PIN mittels einer
Schadsoftware bei der Eingabe über die Tastatur zu begegnen, empfehle ich die sichereren „Standard-“ bzw.
„Komfortlesegeräte“ für den nPA einzusetzen, die über
eine eigene integrierte Tastatur und ein Display verfügen.
Leider hat die Bundesregierung aber im Rahmen ihres
Konjunkturprogramms vor allem die Verbreitung der risikobehafteten Basislesegeräte gefördert. Ein Hinweis
noch: Die Nutzung der qualifizierten elektronischen Signatur ist nur mit Komfortlesegeräten möglich.
Um die eID nutzen zu können, muss auf den PC eine spezielle Software, eine sog. Ausweis App installiert sein.
Der vom BMI gesteckte enge Zeitrahmen für die Einführung des nPA mag dazu beigetragen haben, dass die erste
Version der Ausweis App Sicherheitslücken aufwies. Insbesondere war nicht ausgeschlossen, dass durch eine gefälschte Version der App Schadprogramme (Trojaner, Viren) auf den PC des Nutzers geladen werden konnten.
Diese Sicherheitslücke wurde inzwischen nach Angaben
des BMI mit Auslieferung einer neuen Programmversion
geschlossen.
Unternehmen und Behörden, die sich als Diensteanbieter
im Internet mit Hilfe der eID-Funktion Gewissheit über
die Identität des Kunden bzw. des Bürgers verschaffen
wollen, müssen sich zunächst bei der Vergabestelle für Berechtigungszertifikate registrieren lassen. Von dort erhalten sie nach einer Überprüfung ein Berechtigungszertifikat. Die Vergabestelle prüft, welche Daten des Ausweises
von den Diensteanbietern für den jeweiligen Zweck benötigt werden und von ihnen aus dem nPA ausgelesen werden dürfen. Mit dem Berechtigungszertifikat sind die
Drucksache 17/5200
Diensteanbieter für die Nutzerinnen und Nutzer eindeutig
zu erkennen. Mit dem Zertifikat wird ein – je nach Geschäftszweck ��� unterschiedlich weiter Zugriff auf die Ausweisdaten eröffnet. So werden z. B. für eine Altersverifikation an einem Warenautomaten deutlich weniger Daten
und insbesondere keine Adressdaten benötigt als beim
Vertragsabschluss im Bereich des Versandhandels. Diesen
am datenschutzrechtlichen Erforderlichkeitsgrundsatz ausgerichteten differenzierten Zugriff begrüße ich.
Kritisch sehe ich es aber, dass die Vergabe der Zertifikate
allein auf Basis der Erklärungen und Informationen der
Diensteanbieter beruht. Ich hätte es begrüßt, wenn auch
eine Prüfung des tatsächlichen Datenschutzstandards vorgegeben worden wäre. Zudem stellen Verbraucherschützer
die berechtigte Frage, wie ausgeschlossen werden kann,
dass unseriöse Anbieter die Berechtigungszertifikate zur
Irreführung von Verbrauchern nutzen, denn die Prüfung
der Geschäftsmodelle selbst gehört nicht zu den Aufgaben
des Bundesverwaltungsamts, das die Zertifikate vergibt.
Im Übrigen können die Bürgerinnen und Bürger den Zugriff auf die eID-Daten im Einzelfall auch weiter beschränken, als vom Berechtigungszertifikat vorgesehen.
Diese individuelle Zugriffssteuerung durch die Betroffenen ist aus datenschutzrechtlicher Sicht ausdrücklich positiv zu bewerten.
Ich hoffe, dass die beim Bundesverwaltungsamt eingerichtete Vergabestelle für Berechtigungszertifikate die notwendige Unterstützung erfährt, um eine sachgerechte Prüfung sicherzustellen. Datenschutzrechtliche Leitlinien für
die Vergabe von Berechtigungszertifikaten wurden in einer Arbeitsgruppe unter Beteiligung von Mitarbeitern der
Landesbeauftragten für den Datenschutz, meines Hauses,
des Bundesinnenministeriums und des Bundesverwaltungsamtes vorbereitet.
Der neue Ausweis ermöglicht auch, Online-Angebote
pseudonym zu nutzen. Dabei wird nicht der Name, sondern ein Pseudonym übertragen. Nutzt ein Internetshop
zum Beispiel einen Bezahlservice und vertreibt digitale
Waren per Download, ist es prinzipiell möglich einzukaufen, ohne dass der Anbieter den Namen des Käufers und
dessen Postadresse erfährt.
Als weitere Funktion kann die qualifizierte elektronische
Signatur optional auf den Chip aufgebracht werden. Der
Ausweisinhaber kann damit Dokumente, z. B. Verträge,
rechtsverbindlich unterschreiben. Die qualifizierte elektronische Signatur muss bei einem Zertifizierungsdiensteanbieter beantragt und kann von diesem auf den Chip des
Ausweises geladen werden. Das Aufspielen und die Nutzung sind kostenpflichtig.
Ich werde beobachten, wie sich der Datenschutz bei Nutzung der eID-Funktion entwickeln wird und ob sich mit
dieser Funktion und der parallel angebotenen qualifizierten elektronischen Signatur das Identitätsmanagement im
Internet verändern wird. Außerdem werde ich die Kontrolle der von öffentlichen Stellen betriebenen Lesegeräte
zum Auslesen der biometrischen Daten auf mein Prüfpro-
BfDI 23. Tätigkeitsbericht 2009-2010